OWASP – Sicherheitsrisiken in Webanwendungen

Die Top 10 der kritischen Sicherheitslücken
Developer führen Tests auf Tablet durch

Juni 2023

OWASP – Sicherheitsrisiken in Webanwendungen

Posted at 21:58h Software Delivery by

Wenn über Webanwendungen oder Webseiten gesprochen wird, kommt unweigerlich das Thema Sicherheitsrisiken auf. Da stellen sich aber schnell Fragen wie: Was ist eigentlich ein Sicherheitsrisiko, welche Risiken gibt es und wie häufig kommen diese vor?

Was ist ein Sicherheitsrisiko?

Ein Sicherheitsrisiko besteht aus zwei Teilen: Zum Einen den Auswirkungen von einem eintretenden
Ereignisses oder Umstands und zum anderen aus dessen Eintrittswahrscheinlichkeit.
Beispielsweise könnte ein Ereignis das Herausfinden eines Passworts für einen User-Account sein.
Zusammen mit der Eintrittswahrscheinlichkeit ergibt sich dadurch ein gewisses Sicherheitsrisiko.

Welche Sicherheitsrisiken es gibt und welche am häufigsten auftreten:

Es gibt Listen, die Sicherheitsrisiken vergleichen und nach bestimmten Kriterien einordnen.
Eine solche Liste ist die Top 10 Sicherheitsrisiken für Webanwendungen der „OWASP Foundation“.

OWASP steht für „Open Worldwide Application Security Project“ und ist eine Nonprofit-Stiftung, die
die Sicherheit von Software verbessern möchte. Die OWASP erstellt alle vier bis fünf Jahre eine Liste von
10 Sicherheitsrisiken, die aus ihrer Sicht aktuell die relevantesten sind. Die aktuellste Version ist von
2021.

Wann sind Sicherheitsrisiken relevant und woher kommen die Daten dafür?
Die OWASP verwendete 2021 zwei Kategorien von Daten, um ihre Liste zu erstellen.

Die erste Kategorie kam von Firmen, die in ihren Prozessen Schwachstellen in Webanwendungen gefunden hatten. Insgesamt wurden dabei Daten von mehr als 228.000 Anwendungen betrachtet. Anhand dieser Daten wurden acht der zehn Sicherheitsrisiken der Liste ermittelt.

Die zweite Kategorie wurde durch eine Umfrage ermittelt. Dabei wurden „Penetration Tester“ gefragt, welche Schwachstellen und Trends es aktuell in Webanwendungen gibt. Aus diesen Informationen wurden dann zwei der zehn Sicherheitslücken in der Liste ermittelt.

Um die Reihenfolge der Sicherheitsrisiken zu bestimmen, schaut die OWASP lediglich, in wie vielen Anwendungen die Lücke gefunden wurde, nicht aber, wie kritisch diese war.

OWASP Top 10 Sicherheitsrisiken für Webanwendungen 2021

Im Nachfolgenden sehen wir einen Vergleich der beiden Listen von 2017 und 2021.
Nur drei der zehn Sicherheitsrisiken wurden neu in die Liste aufgenommen. Daran erkennen wir, dass sehr viele Sicherheitsrisiken auch in der neusten Version wieder auftauchen und somit nach wie vor eine große Rolle in aktuellen Webanwendungen spielen.

Broken Access Control

Dieses Sicherheitsrisiko ist im Jahr 2021 auf dem 1. Platz gelandet, weil über 50% der getesteten Anwendungen vom Risiko betroffen waren.
Generell geht es bei dem Sicherheitsrisiko „Broken Access Control“ darum, Informationen oder Funktionen einer Webanwendung sehen oder verwenden zu können, obwohl der aktuelle User nicht die Rechte dazu hat.

Beispiel:
Stellen wir uns beispielhaft eine Webanwendung vor, auf welcher wir uns anmelden und Daten wie Name, Adresse und Telefonnummer angeben und speichern können. Diese Informationen sollten nur für den angemeldeten User einsehbar sein.
Die URL zu einem Userprofil sieht folgendermaßen aus: „https://example.com/profil/User“.

Falls nun der User A auf sein Userprofil schaut, sieht er die folgende URL: „https://example.com/profil/User_A“. Der aktuelle User wird immer am Ende der URL hinzugefügt.
Wenn User A nun die Daten von User B sehen möchte, kann er versuchen, die URL anzupassen und seinen Nutzernamen durch den von User B zu ersetzen. Die URL sieht dann wie folgt aus: „https://example.com/profil/Nutzer_B“.

Da die Beispiel-Webanwendung nicht überprüft, ob der User berechtigt ist dieses Profil aufzurufen, werden nun alle personenbezogenen Daten von User B angezeigt.
Um solche Szenarien zu verhindern, muss die Überprüfung auf die Rechte des Users nicht nur beim Klicken von Buttons, sondern auch beim Aufrufen von URLs geschehen.

Fazit

Es gibt Listen von Sicherheitsrisiken, die nach bestimmten Kriterien sortiert sind. Im Beispiel von den Top 10 OWASP Sicherheitsrisiken für Webanwendungen sieht man, dass hier nur nach der Häufigkeit und nicht nach der Gefährlichkeit sortiert wird.

Sie konnten feststellen, dass diese Sicherheitsrisiken schon länger bekannt sind und noch nicht in jeder Webanwendung behoben wurden. Aus diesem Grund ist es sehr wichtig, die eigene Webanwendung auf diese Risiken hin zu prüfen und zu beheben.

In den meisten Fällen sind die Lücken leicht zu schließen – gerne unterstützen wir Sie dabei!

Sven Hilsmann

Autor 

Sven Kirchner
Advanced Software Developer & Security Experte

Tags: